宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > 中币下载 > 正文

“闪电贷攻击”再现 ApeRocket Finance被黑事件简析

作者:

时间:1900/1/1 0:00:00

一、事件概览

北京时间7月14日,链必安-区块链安全态势感知平台舆情监测显示,BSC生态DeFi收益耕种聚合器ApeRocketFinance遭遇“闪电贷攻击”。据相关消息指出,此次攻击事件中,攻击者针对的是ApeRocket其下Apeswap的SPACE-BNB池,其项目代币SPACE已下跌逾75%。

成都链安·安全团队近期已披露多起BSC生态“闪电贷”攻击事件,在ApeRocketFinance被黑事件中,攻击者依然利用了“闪电贷”的攻击原理,“换汤不换药”,通过操纵项目合约的“质押收益”和“奖励机制”从而进行获利。值得注意的是,ApeRocketFinance是本月首起较为典型的安全攻击事件,在此提醒各项目方做好日常安全审计和安全防护工作。

Celsius将19.8万枚ETH转入其质押池,将19.7万枚ETH通过Figment质押:6月2日消息,据 21 Shares 母公司 21.Co 链上数据研析师 Tom Wan 监测,Celsius 昨日将 22.2 万枚 ETH 从他们的 stETH 提款地址发送到了自己的以太坊质押池,如果 Celsius 通过质押池质押所有 42.8 万枚 ETH,将成为以太坊上第七大质押实体(58.6 万枚 ETH)。根据最新数据显示,Celsius 从其 stETH 提款地址收到 42.8 万枚 ETH,后将 19.8 万枚 ETH 存入其质押池,又将 19.7 万枚 ETH 通过 Figment 存入到一个此前质押 ETH 的地址,并且保留了 3.2 万枚 ETH。[2023/6/2 11:53:52]

二、事件分析

数据:124,619枚LTC从币安转移到未知钱包:金色财经报道,据Whale Alert监测数据显示,124,619 枚LTC(价值约8,253,296美元)从币安转移到未知钱包。[2022/12/17 21:50:56]

攻击过程分析

1.?攻击者首先利用了“闪电贷”,借取了1259459+355600个cake。

2.?随后,将其中的509143个cake抵押至AutoCake。

Celsius审查员:托管产品在会计控制和运营方面存在缺陷,用户索赔过程更加复杂:11月21日消息,据外媒报道,已申请破产的加密借贷平台Celsius Network的审查员Shoba Pillay发布的一份中期报告详细说明了该公司为客户保管的数字资产相关的两种产品在会计控制和运营方面的缺陷,提出了这些用户是否以及如何获得补偿的问题。

报告表示,“扣留”和“托管”这两种产品均是让用户在保持所有权的同时,将数字货币交由出借人保管。但Celsius在没有足够的操作控制和技术基础设施的情况下启动了“托管”计划。结果该平台在6月10日资金超额5050万美元。6月24日,该产品又资金不足2400万美元。此外,“扣留”产品未能将与账户相关的各种资产从债务中分离出来。由于账户和资产之间没有分离,他们很难追踪自己的资产。

此前今日早些时候消息,Celsius用户提出破产索赔的截止日期定为明年1月3日。(彭博社)[2022/11/21 22:11:14]

THORChain计划集成Avalanche、Dash、Haven、Monero等公链:7月26日消息,去中心化跨链交易协议 THORChain 发布下一阶段将关注的领域,包括增加 RUNE 绑定到节点,增加 LP 中的总资产以产生更多的交易量。此外,THORChain 还计划集成 Avalanche、Dash、Haven、Monero 等公链。

据悉,THORChain 在过去一年专注于网络安全和稳定阶段。随着主网上线之后,THORChain? 向可扩展性和采用阶段的过渡,以推动更多的交易量、交换和总价值锁定 (TVL) 进入网络。[2022/7/26 2:38:08]

3.?攻击者将剩余的1105916个cake直接打入AutoCake合约。

4.?然后攻击者再调用AutoCake中的harvest触发复投,将步骤3中打入Autocake的cake进行投资。

5.?完成上述攻击步骤后,攻击者调用AutoCake中的getReward结算步骤2中的抵押盈利,随即触发奖励机制铸币大量的SPACEToken进行获利。

6.?归还“闪电贷”,完成整个攻击后离场。

攻击原理分析

在此次攻击事件中,攻击者首先在AutoCake中抵押了大量Cake,这使得其持股占比非常之高,从而能够分得AutoCake中几乎全部的质押收益。

在步骤3中,攻击者直接向AutoCake合约中打入大量cake,这部分cake因并没有通过抵押的方式打入AutoCake合约;根据合约自身逻辑,将会被当作“奖励”。

一来一回,直接打入AutoCake中的cake大部分最终也会结算给攻击者。

但另一方面,在进行getReward操作时,函数会根据质押而获得奖励的数量来铸币SPACEToken发放给用户,做为另外的奖励。在正常情况下,质押奖励较少,因此铸币的SPACEToken也会很少;但由于攻击者上述的操作,便导致铸出了大量的SPACEToken。

三、事件复盘

不难看出,这是一次典型的利用“闪电贷”而完成获利的攻击事件,其关键点在于AutoCake合约自身逻辑的“奖励机制”,最终导致攻击者铸出了大量的SPACEToken完成获利。同时,这也是本月首起典型的“闪电贷”攻击事件,值得引起注意。

成都链安·安全团队建议,随着“闪电贷”在DeFi生态越来越受青睐,潜藏在暗处的攻击者也随时准备着利用“闪电贷”而发动攻击。因此,DeFi生态各项目方仍然需要格外重视来自“闪电贷攻击”的威胁,与第三方安全公司积极联动,构建起一套完善而专业的安全防护机制。

标签:CAKEETHUTOAUTOCAKEUPETH钱包官网地址autofarm币最新消息Autonio

中币下载热门资讯
在即将到来的数字时代 经济的新形态将是什么?

作者|伊斯兰姆博士,银行、移动应用程序行业、海关和增值税的企业级系统开发工程师,曾负责开发企业私有链。 编译|白泽研究院 对于非技术背景的人来说,这将是一篇理想的文章,可以更好地理解、预测和明白加密货币世界的技术原理和中央银行的障碍.

1900/1/1 0:00:00
为什么说2021 Q2或是数字货币史上最重要的一季

本文来自?messari.io,原文作者:MiraChristanto2021年第二季度,可能是数字货币历史上最重要的季度之一。2021年4月14日,Coinbase成功上市,员工开香槟庆祝,市场欢欣鼓舞.

1900/1/1 0:00:00
交行发400万数字人民币红包联动“长沙地铁”享满减优惠

近日,数字人民币的试点活动不断,交通银行湖南省分行针对长沙市民围绕公共交通出行发放了400万元的数字人民币红包。据移动支付网了解,此次交行发放的红包并不是通过“摇号抽签”的形式,而是“先到先得”.

1900/1/1 0:00:00
算力回稳 矿业“机构化”与“基金化”

"在这场前所未有的算力大迁徙中,新的矿业格局正在重构。"尘埃落定之后,矿业生态正在逐步回稳。据Glassnode7月13日数据显示,在过去一周,比特币算力已从原来55%的跌幅恢复到39%左右的跌幅,倘若这种恢复速度能够继续,这代表着约.

1900/1/1 0:00:00
IDC发布中国BaaS市场份额报告 蚂蚁链位居第一

7月15日,国际权威数据公司IDC发布了2020年中国BaaS厂商市场份额报告。报告显示,蚂蚁链以31.7%的市场占有率位居第一,华为、浪潮分别以12.6%和11.7%的市场占有率位居第二、第三位.

1900/1/1 0:00:00
头部借贷协议进军机构市场 DeFi 之夏会再次开启吗?

就目前DeFi的基建水平、法律法规等方面来看,机构大规模采用DeFi协议还为时过早。原文标题:《CeDeFi?机构入场DeFi还有较长的路要走》炎炎夏日,DeFi蓝筹纷纷触底反弹。其中,Compound、AAVE的表现最为亮眼.

1900/1/1 0:00:00